お電話での問い合わせは03-6805-2586
プライバシーの利益のための競争法とデータ保護法の在り方みたいな感じを考えていると、2021年6月11日のイギリス競争市場庁のプライバシーサンドボックスについての「グーグルのコミットメントを受容するための意思通知(Notice of intention)」は、非常に興味深いものがあります。
それに至る経緯をみていくと、5月19日には、 競争市場庁と情報コミッショナーの共同ステートメントが、公表されているのに気がつきました。プライバシーサンドボックスを直接に名指ししているわけではないのですが、ほとんど、そのために書かれているような感じです。内容をみていくと非常に興味深いので、別のエントリを立てて検討することにしました。
内容は
となっています。
デジタルエコノミーにおける競争とデータ保護は、さらに、デジタル経済におけるデータの重要性、データの経済的性質、デジタル市場におけるデータと競争、デジタル経済における個人データの保護、競争とデータ保護の目的のシナジーと緊張、競争とデータ保護における共同の見解の要約、から成り立っています。
この報告書では、きちんとプライバシーとデータ保護の使い分けが意図されています。パラ10では、
「データ保護」と「プライバシー」という言葉はしばしば互換的に使用されますが、これらの概念は補完的なものであり、その意味や範囲において同一ではないことに留意する必要があります。データ保護は、プライバシーの権利に由来するものであり、これらの基本的権利を、保護するというより広範な目的を個人データの観点から支えています。本声明で「プライバシー」について述べる場合、データ保護の権利に関わるプライバシーの側面、およびデータ保護法の目的を達成することで個人データ処理に関するプライバシーおよび管理が強化される状況について狭義に言及しています。
としています。これを私なりに図にしてみました。
「邪教としてのデータ保護教」(キンドル「新型コロナ出版対プライバシー」所収)でふれたのですが、現在のプライバシー議論は、
という点で、基本的な欠点があるだろうと考えています。(要点は、「山本龍彦先生の「情報自己決定権の現代的な課題」でブログをとりあけていただきました」で読めます)。
プライバシーの利益を人間の平穏に過ごす精神的な利益と定義することによって、それを測定することができること、また、きわめてコンテキストによってそれが左右されることを論証
するのが私の立場です。このように考えたときに、データ保護を究めることによって、基本権としての「プライバシー」を危機に陥れてしまっていないのですか、というのが私の立場です。そして、私の立場からは、このICO.CMAの共同ステートメントは、この問題点をよく指摘しているというように思えます。
抽象論は、ここらへんでやめて、この「デジタル経済における競争とデータ保護」の章を簡単にみていきます。
データが重要な役割を演じていること(12)、デジタル経済がデータに頼っていること(13)、データへのアクセスを拡大することは利用者の選択や経験を拡大すること(14)、データは、デジタル広告にとっての重要なインプットであること(15)などが論じられています。
また、個人データについては、その概念(16)、その果たす機能とその権利自体、絶対ではないこと、総体的な目的は、取扱の構成さと適法さを確保して、これらの権利の保護の間のバランスをとること、また、それらについての説明適任を果たせるようにすることであること(17)、現代のエコシステムにおいて、個人データは、ターゲット広告にとって有効であること、また、広告の成功率が測定でき広告者がより広告費を払ってくれるることになること(18)、個人データは、重要な役割を果たしているが、プライバシー拡張技術(PET)によって減少する可能性があることがふれられています。
さらにその他のデータがあり、広告の世界では、いろいなカテゴリの用語が用いられていて、それらには、ユーザデータ、文脈データ、分析データなどがあること(21)、ファーストパーティ・サードパーティの別が述べられています(22)。
個人データを含むデータが、デジタル経済のなかで、重要な役割を果たしていること(23)、ユーザの興味や嗜好は、製品やサービスを向上するのに大きな意味をもち、デジタル広告にとって大きな意味を持つこと(24)、データ共有の限界費用は非常に低いこと、また、データは「外部性」(第三者へのコストや利益の波及)をもたらすことがあること(25)、データの価値は、データのコンビネーションから生まれうること(26)、収集のコストが実質的であることから、データ囲い込みのインセンティブがあり、法的・技術的なものがそれをさらに支えていること(27)、データについてのアクセスの差別化は競争の障壁となること(28)、データの共有は、重大な効率性を生むこと(29)、しかしながら、
問題となっているデータが個人データである場合、この理論的根拠はデータ保護法の要件と矛盾していると考えられる可能性があり、さらに一般的には、個人データをさまざまな方法で収集、集計、使用する動機付けは、データ保護に関するさまざまな懸念を引き起こす可能性があります。
とされている(30)。
データへのアクセスが、収入を生み出すことを実質的に支えることになっており、デジタル広告においては、特にそうであること(31)、競争の観点からは、個人データを取り扱う企業に頼るのではなく、むしろ、関係者が公正な競争環境になるかということであること、データへのアクセス環境に差異があるままでは、「能率競争」(competition ‘on the merits’)は困難になること(32)、市場研究において、グーグルとフェースブックが、重要なデータのアドバンデージを利用していることが認定され、種々の介入が考察されていること(「イギリス競争市場庁(CMA)「オンラインプラットフォームとデジタル広告-市場研究最終報告」(2020)」参照、33、34、35、36)。
デジタルビジネスにおいて、個人データを利用し、サービスを個別化し、ターゲット広告に利用していること(37)、その過程でデータ保護法が適用されること(38)、英国GDPRは、ハームとありうる損害のタイプに応じてリスクベースでなされること(39)、デジタル経済の文脈で、広告の精確性をあげ、広告の成功率をあげていくために、データを収集し、その取扱をなすことなるが、それらは、プライバシーやデータ保護の観点から問題になる(40)。データ保護枠組みは、個人が効果的なコントロールを有することを確実にすることなどを求めている(41)、情報コミッショナーは、ウエブとクロスサイト機器追跡(web and cross-device tracking)を重要な領域としていること(42)、また、リアルタイムビッディングについての研究もなしている(2019年3月、6月)(44)。そして、情報コミッショナーは、アドテックについてのデータ監理のプラットォームに着目していること(45)、また、他の分野にも注目していることが述べられています(46)。
この部分は、興味深いので、翻訳してみます。
競争法とデータ保護の目的は、時に相反するものであると考えられます。私たちはそうは思いません。それぞれの政策目標を支える基本的な相乗効果があり、緊張関係が生じることはあっても、それは克服可能であると考えています。
としています(47)。課題が生じる可能性があることを認識する前に、我々のそれぞれの体制の間の相乗効果を強調します(48)。
—- 以下、翻訳——
シナジー
49 我々は、競争とデータ保護の目的の間には強い相乗効果があり、デジタル市場における多くの規制的介入は、両方の目的をサポートする方法で設計することができると考えています。これらの相乗効果は、ユーザーの選択とコントロール、プライバシー保護のための基準と規制、競争促進のためのデータ関連の介入という3つの主要なカテゴリーに分けて考えることができます。
50. 意味のあるユーザーの選択と管理は、強固なデータ保護と効果的な競争の両方の基本です。両方の政策目的の利益は、ユーザが自分の好むサービスまたは製品を真の意味で選択でき、プロバイダがユーザの顧客を獲得するために対等な立場で競争し、個人が自分の個人データを管理し、データを処理するかどうか、どのような目的で処理するかについて意味のある選択ができる場合に、最もよく満たされます。
51. このような状況において、効果的な競争は、より強固なプライバシー保護を可能にし、弱い競争は、これらの保護を弱める可能性があります。CMAは、最近の市場調査において、ソーシャルメディアのプラットフォームが、個人データをパーソナライズされた広告に使用するかどうかについて、ユーザーに選択権を与えない場合に、重大な懸念を確認しました。CMAは、個人データの使用に関するこのような「取るか取られるか」の条件に関する懸念は、プラットフォームが市場力を持ち、ユーザーが条件を受け入れる以外に意味のある選択ができない場合に、特に深刻であると結論付けています。
52. 効果的なデータ保護は、ライバル企業が個人データの使用方法に関する消費者の信頼と信用を構築しようとすることで競争を支援し、また、競争圧力がユーザーに真に利益をもたらす革新を促進することを確実にすることでもあります。この点については、以下で詳しく説明します。
53. 多くのユーザーは、自分のプライバシーに強い関心を持ち、自分の個人データをもっとコントロールしたいと考えています。ユーザーが自分の個人データをコントロールできるようにすることは、ユーザーのプライバシーを保護するために重要であるだけでなく、競争とデータ保護の両方の目的に影響を与える力の非対称性のような害を軽減するのにも役立ちます。例えば、個人データの使用に関するコントロールを個人に与えることでこの非対称性を軽減することは、デジタル経済に対する信頼と信用を向上させ、コントロールとセーフガードを提供しつつ、個人データのより効果的な使用に貢献することができます。競争の観点からは、デジタル事業者とユーザーの間のバランスをリセットし、ユーザーの関心を引き、個人データからより大きな利益を与えるために、事業者に多くの責任を負わせることができるため、これはユーザーに利益をもたらす健全な競争を促進することができます。
54. 競争の激しいデジタル経済において、個人に意味のある選択とコントロールが与えられれば、「プライバシー」自体が、企業が新規顧客を獲得するために競争する分野になる可能性があります。これにより、責任あるイノベーションが促され、プライバシーを保護する代替的なビジネスモデルの開発のきっかけとなる可能性があります。
55. 例えば、適切なレベルのプライバシーをデフォルトで提供し、個人が自分のデータの処理をコントロールできるようなオプションを提供することで、このようなモデルは、個人がコントロールできるようになり、デジタルビジネスは、信頼できる方法で行われる公正で合法的かつ透明性のあるデータ処理から利益を得ることができます。ユーザーのコントロールが強化されることで、ユーザーの信頼と信用が高まり、それがデジタル経済の繁栄を支えることになります。
56. このような理由から、我々は、ユーザーが自分の個人データを管理し、どのような目的で、どのように処理すべきかを決定し、権利を行使する能力を強化する措置を原則的に強く支持します。また、我々は、ユーザーが複雑な選択肢の中から選択する時間や気持ちが限られている可能性があり、ユーザーの選択が選択アーキテクチャやデフォルト設定に大きく影響される可能性があることを認識しています。したがって、デジタルサービスのプロバイダに対して、ユーザが自由に選択できるように選択アーキテクチャを設計し、サービスプロバイダの利益ではなくユーザの利益になるデフォルト設定を導入することを要求することは、競争とデータ保護の両方の目標をサポートする上で非常に価値があります。
57. 実際、データ保護法は、個人データを処理する組織に対し、個人データを処理する製品およびサービスの開発において、「デザインおよびデフォルトによるデータ保護」アプローチを採用することを求めています。データ保護の原則(公正さ、目的の制限、データの最小化、セキュリティなど)を効果的に実施し、個人の権利を保護し、他の義務の遵守を確保するために必要な保護措置を処理に組み込むことにより、ユーザーが自分のデータを管理し、プライバシーを守る能力を強化することができます。
58. このテーマの重要性を反映して、ICOとCMAはそれぞれ最近、選択アーキテクチャがユーザーの有意義な選択をサポートする方法について独自の研究を行っています。ICOは、2020年9月2日(12ヶ月の移行期間あり)に、年齢に応じたデザインに関する行動規範を施行しました。このコードは、子どもがアクセスする可能性のあるオンラインサービスを設計・開発する際に、子どもの最善の利益を第一に考慮することを保証する15の柔軟な基準を定めています。さらに、CMAは、オンラインプラットフォームとデジタル広告に関する市場調査において、市場力のあるプラットフォームに対し、「設計による公正さ」義務を課し、個人データの使用について十分な情報を得た上で選択するユーザーの能力を最大化する方法で、選択アーキテクチャとデフォルトを設計することを保証するよう勧告しています。これは、データ保護原則と、設計によるデータ保護およびデフォルトによるデータ保護の法的要件との明確な整合性があります。
59. 両機関は、デジタル規制協力フォーラムの下で、Ofcomとともに「デザインフレームワーク」に関する作業をさらに進めることを約束しています。これにより、選択肢のアーキテクチャに関する規制要件を業界に明確に示し、必要に応じてその遵守をより効率的にすることができます。明確なルールと広く受け入れられた基準の確立は、機能している経済において重要な役割を果たしており、相互理解に基づいて個人や組織間の交流を促進している。
60 個人データの処理を伴う効率的な市場成果の達成に関して、データ保護法と競争法が相互に補完し合うことを原則として認識することが重要である。
61. 実際、我々は、個人のプライバシーを保護し、個人が自分の個人データをコントロールできるようにするための適切に設計された規制および基準は、効果的な競争を促進し、プライバシーを強化するのに役立つという見解を共有しています。これは、データ保護やプライバシー権を損なう行為を助長するのではなく、競争圧力によってユーザーに真に利益をもたらす革新を促進することで達成されます。適切な規制があれば、競争圧力を利用して、プライバシーに配慮した技術の開発、明確でユーザーフレンドリーなコントロール、ユーザー主導のデータモビリティの向上をサポートするツールの作成など、ユーザーを保護しサポートするイノベーションを推進することができます。このようなイノベーションを実現するためのインセンティブは、対象となる規制がある場合の方がない場合よりも大きくなります。
62. さらに、データ保護法は、公正で適切なデータ共有を可能にします。ICOが発表したデータ共有に関する法定実践規範には、データ共有が組織、個人、経済、そしてより広い社会にもたらすメリットが概説されています。データ保護法は、企業や組織に、法律に準拠した方法でデータを共有する自信を与え、これらの組織が公正かつ適切にデータを共有することを可能にします。個人データがどのように使用されているかについての信頼を生むデータ共有は、イノベーション、競争、経済成長、そして消費者と市民の選択肢拡大の原動力となります。
63. 全体として、個人データの処理に関する規制と基準が、競合する企業間の公平な競争条件を維持する(または確立する手助けをする)役割も果たす場合、競争とデータ保護の両方の利益が強く一致します。
64. デジタル市場での競争を促進する上でデータが中心的な役割を果たしていること、また、データへのアクセスに差があると競争が歪む可能性があることを考慮すると、データへのアクセスを提供または制限する介入は、デジタル市場での競争を促進する上で重要な手段となり得ます。このデータが個人データである場合、競争とデータ保護の利益の間で考慮すべき重要な相互作用があります。
65. 前述のとおり、データ関連の介入を検討する際のCMAの主な動機付け要因は、競争を歪める可能性のある データへのアクセスにおける著しい格差を克服する必要があることです。これは、他の市場参加者と公平な競争環境を作るために、市場力のあるプラットフォームのデータへのアクセスを制限したり、データセットを組み合わせて統合する能力を制限したりするという形をとることができます。CMAの市場調査で検討されたこのような介入の一例は、市場力のあるプラットフォームにデータサイロを課すことで、そのプラットフォームのデータ収集能力を制限する可能性があることです。 前述のとおり、CMA がデータ関連の介入を検討する際の主な動機となる要因は、競争を歪める可能性のあるデータへの アクセスにおける著しい格差を克服する必要があることです。これは、他の市場参加者と同じ土俵に立つために、市場力のあるプラットフォームのデータへのアクセスを制限したり、データセットを組み合わせて統合する能力を制限したりするという形をとることができます。CMA の市場調査で検討されたこのような介入の一例は、デジタル広告のターゲティングと測定を目的としてデータセットを結合する能力を制限するために、市場力のあるプラットフォームにデータサイロを課す可能性があることです。
66. 企業がデータセットを結合する能力を制限することによる潜在的な効率コストについては慎重に検討する必要がありますが、このような介入は、個人データを結合して処理する能力を制限することを伴うため、原則として、競争とデータ保護の利益の間に強い相乗効果をもたらす可能性があると同時に、すべての企業が公正に競争するためのより公平な競争の場を作り出すことになります。
67. 我々は、2つの法的枠組みがそのような介入を行う手段を提供する方法と、それらが同時に我々の規制目標をサポートする範囲を共に模索しています。
起こりうる緊張(Potential tensions)
68. また、我々は、データ保護と競争の目的が緊張関係にあると思われる状況があることを認識しています。このような緊張関係が強調される2つの例があります。
69. 以下では、これらの2つの例の意味をより詳細に検討します。
70. CMA の市場調査で検討されたデータ関連介入のいくつかの形態は、中小企業や潜在的な新規参入者に特定のタイプのデータへのアクセスを要求することで、対象となる方法で市場の競争を促進しようとするものです。その目的は、データへの実質的なアクセスを理由に市場支配力を持つ既存企業と同等に競争できるようにすることです。
71. 個人データへのアクセスがこのような救済措置の対象となる場合、データ保護法に沿った形で設計されなければならない。以下に関連する考慮事項を述べる。
72. 上述したように、データは非競合であり33 、データ共有の限界費用は非常に低いものです。したがって、データを共有することで、社会全体が利益を得られるような大きな効率性を生み出すことができます。特に、そのような共有によって、データをさまざまな方法で、さまざまな目的のために再利用したり、組み合わせたりすることができる場合はそうです。
73. 上述のデータ分離の原則とは対照的に、データアクセスの介入は、より多くの管理者による個人データのより広範な処理につながる場合など、データ保護の目的との間に緊張関係が生じる可能性があると考えられるかもしれません。しかし、データ保護法は、データ共有が公正かつ比例的であり、法的要件に準拠している場合には、データ共有を促進することに留意することが重要です。
74. ICOが最近発表したデータ共有に関する実践規範34は、データ共有が経済やより広い社会にもたらす利益を概説しており、企業や組織に、ユーザーのプライバシーを保護し、ユーザーが自分のデータを確実に管理できる方法でデータを共有する自信を与えるものです35。重要なのは、企業が、あらゆるデータ共有が法律の要件に準拠していることを保証することです。
75. したがって、データアクセス介入が適切な救済策である場合、認識されている緊張関係は、必要かつ比例的なものに限定され、データ保護に準拠した方法で設計および実装され、関連する処理操作が設計およびデフォルトによるデータ保護の原則に沿って開発され、違法または有害な行為の助長につながらないように、慎重に設計することで解決できると考えます36。
76. 緊張が生じる可能性のある第二の領域は、データ保護法が大規模な統合デジタルビジネスによって解釈され、例えば、大規模な統合プラットフォームが小規模な非統合サプライヤーよりも不当に有利になるなど、競争に関して否定的な結果をもたらすリスクがある場合です。
77. 例えば、このようなリスクは、大規模なプラットフォーム企業のような単一の企業体が所有する異なる事業間での個人データの移転は、プライバシーの観点から原則として容認されるが、独立して所有する事業間での個人データの移転は、これらの事業がプラットフォームの事業と機能的に同等であり、データが同じ基礎で同じ基準に従って処理されるとしても、容認されないというデータ保護法の解釈から生じる可能性があります。
78. このような解釈が実際に実施された場合、企業がより多くの個人データを処理できるように水平方向および垂直方向に統合する強い動機付けとなるため、競争上明らかに問題となります。また、小規模な新興企業を含め、垂直統合されていないチャレンジャー企業や新規参入企業がデジタル市場で競争する能力を損なうことになります。
79. 競争上の問題だけでなく、データ保護法のこのような解釈は、プライバシーに関する懸念を引き起こす可能性があり、例えば、自律性の欠如や力の非対称性など、先に述べたデータ保護の弊害につながる可能性があります。別々のビジネスユニット間でのデータの送信または開示は、たとえ最終的に同じ企業体が所有している場合であっても、データ保護法を遵守しなければなりません。
80. 法は、企業グループの一員である管理者が、顧客や従業員の個人データの処理などの内部管理目的で個人データをグループ内で送信することに正当な利益を有する可能性があることを認めていますが、その性質上、この利益はそのような目的に限定されており、どのような場合でも、公平性、透明性、目的の限定、データの最小化、セキュリティなど、管理者間のデータ共有にも適用されるデータ保護フレームワークの広範な原則、要件、目的の残りの部分を考慮しなければなりません。
81. 我々は、関連性のない企業間でのデータ共有は、社内でのデータ共有と同じデータ保護の原則、要件、目的に準拠しなければならないと認識しています。前述のとおり、ICOのRTBに関する調査では、入札依頼の処理に関わる複数の企業など、オープンディスプレイ市場で個人データが広く普及していることに大きな問題があることがわかりました。これは、RTBの運営方法と決定的に関連していました。これらの調査結果は、実際にデータがどのように処理されているか、また、データがどのように処理されているかに関連しています。公平、適法かつ透明性のある方法で行われること。ICOは、個人に与えられた透明性とコントロールの欠如(特に「アドテックスタック」におけるデータ処理者について)、データ共有と転送に関するリスク評価の欠如(これが個人データのセキュリティに関する保証の欠如とどのように関連しているか)を中心に指摘する一方で、行われている処理の量や、不釣り合いで押しつけがましく、不公正なプロファイリングのレベルについても懸念があると指摘しています。
82. したがって、競争法もデータ保護法も、個人データのグループ内移転は認められるが、グループ外移転は認められないという「経験則」的なアプローチを認めていないことに留意することが重要です。データ保護法および競争法の下では、企業の規模、採用されたビジネスモデル、または処理活動の性質にかかわらず、ケースバイケースの慎重な評価が必要です。
83. これらの問題に関連して正しい方法を共同で検討するにあたり、我々は、対処すべき重要な課題があり、より詳細な検討が必要であることを認識しています。しかし、競争法とデータ保護法は強い相乗効果があり、緊張感があると思われる領域は、ケースバイケースで問題を慎重に検討し、競争法とデータ保護法を一貫して適切に適用し、両組織が引き続き緊密に協力することで調整することができると考えています。
競争とデータ保護についての共有された見解の要約
シナジーがあるのと同様に、規制的介入が検討されており、ケースバイケースによってありうる緊張を解決することができること(84)、プライバシー促進かつ競争促進的な結果をもたらすためには、ユーザへの個人データの収集・利用・条件についての明確な情報提供、選択の構造およびデフォルト設定、利用者のさらなるコントロール、プラットフォームやサービス提供者についての現実的な選択および移行の用意さ、プライバシーをサービスのクオリティとして競争がなされること、広告についてのイノベーションがポイントとなること(85)。
このために、デジタル規制協調フォーラム(88-95)が紹介されています。また、グーグルのプライバシーサンドボッス提案についてのCMAの調査が紹介されています。そこでは、
今回の提案により、広告費がGoogleのエコシステムにさらに集中し、競合他社が犠牲になる可能性があるかどうか。
を評価を開始しました(96-100)。また、情報コミッショナーが、リアルタイムビッディングについての調査を停止したこと、そのエコシステムののコンプライアンスについての評価がなされるだろうことがふれられています(101-104)。
これについて、いくつかの結論を支える要因をあげています。その要因としては
があげられてます。
情報コミッショナーと競争市場庁は、ケースバイケースによって、競争とデータ保護の緊張をのりこえることができると考えていること(106)。この問題で止まるつもりはなくともにデジタル市場の問題に対応していくつもりであること(107)、世界的な関連性があること(108)、二つの期間の協調が今後も重要になること(109-111)。
ここで、「緊張」があるとされているのですが、英国においては、観念的な「データ保護」に対する見方(私でいう「データ保護教」)にいらついているように思えます。利用者のより高次な「プライバシー」のために、データ保護と競争の果たすべき役割をバランスをとっていきましょう、というのは、きわめて穏当な提案におもいます。プライバシーの利益は、利用者に対する十分な情報とそれを前提とした競争によって実現されるべき、その利益の実現のための市場の効果を考えるべきであるということなのだろうとおもいます。
個人的には、クロームブラウザのサードパーティ・クッキー停止は、現状の「エコシステム」を前提とする限りは、むしろ、プライバシーをめぐるバランスを崩してしまうのではないか、という感じをもっています。その意味で、「反クッキーのパラドックス」がなりたってしまっているようにおもいます。図としては、こんな感じです。
この図については、データ保護の(競争者の恣意的な)肥大化により(その意味で、ちょっとダークサイド化しています)、競争が低下し、総体的なプライバシーの保護が縮小しているのを示しています。
このようなことがいえるのか、また、どのようにして最適なバランスを見つけることができるのか、ICOのプライバシーサンドボックスの意見通知をみてみることにします。